Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Zohoのパスワードリセット製品に脆弱性 - アップデートで修正

アカウントロックの解除やパスワードのリセットなどをユーザー自身で行うことができるZohoの「ManageEngine ADSelfService Plus(ADSSP)」に脆弱性が明らかとなった。

認証されたユーザーにより、同製品が稼働する機器においてリモートよりコードの実行が可能となる「CVE-2024-0252」が明らかとなったもの。

ロードバランサコンポーネントに明らかとなった脆弱性だが、ロードバランサを構成していない場合も影響を受ける。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.9」、同社は脆弱性の重要度を「高(High)」とレーティングしている。

同社は「同ビルド6402」を現地時間1月10日にリリースし、脆弱性を修正した。

同製品に関しては、過去に「CVE-2022-28810」など脆弱性に対する攻撃が確認されている。また同製品をはじめとする「ManageEngine」の関連製品に明らかとなった脆弱性「CVE-2022-47966」についても「Volt Typhoon」といったサイバー攻撃の標的となった。

(Security NEXT - 2024/01/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

国家支援の複数攻撃者が航空関連組織を侵害 - 「ManageEngine」「FortiOS」経由で
IT管理製品「ManageEngine」に二要素認証回避の脆弱性 - 最新版へ更新を
Zohoのセルフパスワードリセット製品にサービス拒否の脆弱性
パスワードリセット製品など脆弱性3件の悪用に注意 - 米政府
米政府、「ManageEngine」の脆弱性に対する攻撃に注意喚起
「ManageEngine」の脆弱性、悪用が発生 - 侵害の有無についても確認を
「ManageEngine」24製品に深刻な脆弱性 - 悪用容易、アップデートを
Zohoのアクセス関連製品に複数のSQLi脆弱性
米政府、中国関与のサイバー攻撃者が悪用する脆弱性のリストを公開 - 国内製品も
Zohoのアクセス管理製品にあらたな脆弱性 - 6月判明の脆弱性はすでに攻撃対象